• Home

  • Business

  • Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des...
7

Click here to load reader

Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

  • Upload
    nis

  • View
    85

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

Gestion des utilisateurs privilégiés

Contrôler les accès sans dégrader la satisfaction des utilisateurs

IDENTITY & ACCESS

Page 2: Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

Selon les recherches de CERT,

L'abus de privilège a représenté 88 % des 12.000

incidents concernant les mauvais usages des informations par les

utilisateurs internes en

20133

Introduction Selon une étude récente de l'Institut Ponemon, les erreurs commises par les utilisateurs et les bugs informatiques sont les causes principales des brèches de sécurité pour les données de l'entreprise. Ensemble, bugs informatiques et erreurs humaines représentent 64 % des brèches de sécurité et étonnamment, 62 % des salariés pensent qu’ils peuvent transférer des données de l'entreprise à l'extérieur de l’entreprise sans problème.1 Par accident ou volontairement, vos salariés peuvent être à l’origine des brèches de sécurité pour vos informations. Les dommages encourus génèrent potentiellement des pertes de revenu, de répudiation des échanges commerciaux effectués, des coûts dus à des recours légaux et de mise à niveau technologique et plus important encore, une atteinte à la réputation de votre entreprise. Des utilisateurs privilégiés existent dans chaque organisation ; ils tiennent les clés des informations les plus sensibles d'une grande partie de l’entreprise. Les cadres supérieurs et dirigeants, les opérationnels travaillant dans les départements tel que finance, ressources humaines, etc., sont tous des utilisateurs bénéficiant de privilèges informatiques auxquels il faut rajouter les administrateurs de système d'information. Les comptes de ces usagers sont autorisés à accéder à une multitude de ressources au travers des serveurs et des applications via leur PCs, téléphones portables et tablettes

Un manque de contrôles d'accès Le fait qu'un simple nom d'utilisateur et un mot de passe soient toujours le protocole de sécurité le plus répandu dans la plupart des entreprises est un problème majeur en soi. Mais la situation est pire encore lorsque les logins et mots de passe des comptes d’administration sont partagés pour faire fasse à la multiplicité des composants informatiques de l’entreprise : chaque domaine, serveur et connexion à distance génèrent dans certains cas des milliers d’informations sensibles. Beaucoup d'autres problèmes peuvent survenir, liés au processus d'identification simple comme :

> Des oublis – et donc des brèches - au moment de révoquer les accès multiples d'un individu (démission,

fin de contrat ou autres causes). > Une complexité importante lors du changement de mot de passe pour les comptes d'administration

partagés : ceci exige un effort coordonné afin d'assurer que tout le monde soit informé et éviter un blocage provisoire de comptes.

> Une gestion encore plus risquée: avec tant de mots de passe, ils sont souvent stockés au même endroit, sur le même serveur où les administrateurs ont accès.

> Enfin, sans doute le problème le plus évident avec des mots de passe, est la menace de logiciels malveillants ou espions, conçus pour voler les identifiants de connexion.

1 Ponemon 2013 Cost of a Data Breach Study 3.2014 Verizon Data Breach Investigations Report

Page 3: Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

Selon les recherches de CERT, la moitié des attaques malveillantes sont le fait d’anciens employés qui ont pénétré le réseau par des brèches de sécurité connues d’eux, ou par des comptes d'entreprise qui n'ont jamais été mise hors de service.

En plus d'utiliser un protocole de sécurité faible, certaines organisations diminuent les contraintes pour les utilisateurs privilégiés. Et on peut observer les problèmes suivants:

> Faible taux de réinitialisation : à cause de la difficulté de coordonner un changement parmi tous les systèmes administrés, l’entreprise applique des règles minimales pour réinitialiser des mots de passe, les rendant moins sécurisés que des mots de passe d'utilisateur normaux.

> Diminution de la responsabilité individuelle : puisque tout le monde se connecte avec le même mot de passe, la traçabilité des changements administratifs est minimale.

> Ces mots de passe ne sont pas supprimés lorsqu’un employé quitte l'entreprise, ce qui pourrait mener à la mauvaise utilisation de comptes privilégiés par un ancien salarié.

Menaces accrues de l'intérieur Les départements informatiques dans le monde entier ont vécu un rappel à l’ordre quand Edward Snowden a montré comment il était facile de contourner certains contrôles de sécurité parmi les plus contraignants. Les plus privilégiés des utilisateurs ont un accès libre aux données confidentielles d'une organisation, aux réseaux et aux systèmes. Selon une enquête récente auprès de plus de 700 décideurs en sécurité informatique, 46 % croient qu'ils sont "très vulnérables" ou "vulnérables" à une attaque d'un utilisateur interne. Certaines de ces organisations prennent maintenant en compte la problématique des utilisateurs privilégiés très sérieusement : 45 % des décideurs interrogés admettent que l'action d'Edward Snowden les a aidés à changer leur point de vue sur les menaces internes.2

Les menaces liées à des utilisateurs internes n’ont pas toujours comme origine une intention malveillante. Comme mentionné auparavant, l'erreur humaine représente la majorité des brèches de sécurité concernant les données de l’entreprise d'aujourd'hui. Les ‘post-it’ avec les mots de passe, le partage de connexion, la négligence dans la fermeture du compte d'un ancien salarié, l’oublie de déconnexion d’une ressource partagée - n'importe lequel de ces cas pourrait aboutir à un accès non autorisé au patrimoine le plus sensible de votre entreprise. En plus des risques générés par les employés internes, les utilisateurs privilégiés sont souvent la cible des cybercriminels par le biais d’attaques de type APT : Advanced Persistent Threat. Ces comptes d’utilisateurs privilégiés ressemblent à un passe-partout qui peut donner aux pirates informatiques des accès en profondeur à une organisation pour y découvrir les informations les plus sensibles.

Il est temps de repenser la sécurité Tandis que la plupart des entreprises dépensent une grande partie du budget informatique pour se protéger des attaques extérieures, l'augmentation des menaces venant de l'intérieur de l’entreprise, accidentelles ou malveillantes,

2.2013 Vormetric/ESG Insider Threats Survey, September 2013 4 2013 Verizon Data Breach Investigations Report

Page 4: Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

ne peuvent pas être ignorées. Les menaces de sécurité concernant les utilisateurs privilégiés ne sont pas les seules auxquelles doit faire face la direction informatique. Ces utilisateurs privilégiés doivent avoir un accès rapide et facile, parfois à plusieurs dizaines voir une centaine de domaines et systèmes tous les jours. Ces utilisateurs sont extrêmement occupés et de ce fait ne peuvent adhérer à tout ce qui rend leur travail plus difficile. Les techniques utilisées pour contrôler l'accès doivent être simples, efficaces et fiables, en plus de renforcer la sécurité. Caractéristiques nécessaires pour un contrôle et une gestion de comptes privilégiés réussis:

> Authentification multi-facteur > Capacité d'assigner le bon accès basé sur une granularité des rôles pour les comptes privilégiés. Pour plus

d'informations, nous vous conseillons de lire l'article technique de Microsoft, Securing Active Directory Administrative Groups and Accounts

> Ajout et clôture facile de comptes privilégiés > Traçabilité des accès > Intégration parfaite avec les outils quotidiens utilisés par les administrateurs informatiques et les autres

catégories d’utilisateurs privilégiés > Conformité avec des exigences d'audit

Comment fonctionnent les cartes à puce ? Pour se connecter avec une carte à puce, l'utilisateur insère simplement sa carte dans un lecteur spécial intégré à son clavier ou à son ordinateur portable, ou dans un lecteur autonome relié par une connexion USB, ou par sans contact NFC. Une fenêtre s’affiche alors lui demandant d’entrer son code utilisateur PIN. Une fois le code PIN accepté par la carte, il y a un échange crypté pour procéder à l'identification de l’usager, entre les données d'identité de l'utilisateur stocké sur la carte et le système hôte ou le serveur distant. Le fait que la carte à puce utilise son propre processeur et logiciel indépendant du PC pour représenter l'identité de l’utilisateur est le garant de la sécurité de cette approche. Puisque les identités sont sécurisées et isolées du PC et que chaque connexion utilise un processus de question/réponse, les utilisateurs sont protégés des menaces venant de leur ordinateur ou du réseau. La carte reste dans le lecteur ou à proximité pour la durée de la session sécurisée. Le retrait de la carte termine la session. La carte à puce fournit non seulement plus de sécurité, mais aussi plus de facilité d’utilisation pour les utilisateurs. Au lieu d’avoir à se souvenir de mots de passes complexes, qui changent fréquemment, les utilisateurs doivent seulement se rappeler de leur code PIN ; la carte s'occupe de l'authentification forte de l'utilisateur et de l'établissement d'une session cryptée sécurisée. De plus, les cartes à puce sont intégrées en standard dans les environnements Windows - les certificats utilisés pour la connexion peuvent être générés directement par un serveur Microsoft Windows CA et la connexion par carte à puce se fait en natif sur tous les systèmes d'exploitation Windows. Cette intégration native signifie que les utilisateurs peuvent avoir accès aux ressources auxquelles ils sont autorisés à se connecter de n'importe quelle machine faisant partie du domaine d'entreprise, une exigence clé pour les équipes de support informatique.

Page 5: Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

La connexion par carte à puce bénéficie de l'investissement en sécurité fait dans l’architecture de domaine Windows sans investissement supplémentaire. Des utilisateurs privilégiés sont gérés directement depuis le répertoire de l’entreprise ; la suppression d'un utilisateur clos automatiquement ses autorisations de connexion ; cette gestion de compte centralisée de l'entreprise constitue un avantage. Toutes les authentifications peuvent être tracées directement depuis le journal d'événement du Contrôleur de Domaine Windows, ce qui évite d’ajouter un contrôleur pour cette ressource critique dédiée. La technologie carte à puce peut être déployée dans une variété de facteurs de forme incluant des cartes ou des clés USB. En plus des capacités de sécurité de connexion, la technologie carte à puce peut être utilisée pour le contrôle d’accès physique, le courrier électronique sécurisé, l’accès VPN sécurisé et le cryptage des données, par exemple avec l’application Bitlocker de Microsoft.

Utilisation de la carte à puce par un utilisateur privilégié

Connexion à une machine hôte L'ordinateur de l'utilisateur, son téléphone ou sa tablette sont utilisés systématiquement lors de chaque journée de travail; ce sont donc des éléments importants à sécuriser. Un accès protégé par une carte à puce empêchera toute utilisation non autorisée.

Page 6: Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

Utiliser la fonctionnalité « exécutez en tant que» Un utilisateur n’a pas besoin d’avoir accès aux ressources critiques en permanence. Quand l'utilisateur exécute des tâches qui n’exigent pas des ressources critiques, il devrait utiliser un compte avec les privilèges plus faibles. Si l'utilisateur doit exécuter une commande spécifique ou exécuter une demande qui exige des privilèges élevés, il peut exécuter cette application en utilisant un compte différent. Ce procédé est connu sous le nom de « exécutez en tant que » chez Microsoft. Connexion RDP à un serveur distant - « bureau à distance » Les utilisateurs peuvent travailler sur des centaines de machines, certaines peuvent être physiques et d'autres pouvant être virtualisées. La capacité d'avoir accès à ces ressources à distance est critique pour la productivité des utilisateurs. La connexion « bureau à distance » permet à un utilisateur de prendre le contrôle complet d'une machine en utilisant sa carte à puce. SSH L’accès aux ressources Linux peut aussi être sécurisé avec une carte à puce. La clé privée est stockée sur la carte à puce, tandis que la clé publique doit être configurée dans la configuration du serveur SSH. Utilisation du même certificat pour plusieurs domaines De grandes entreprises mettent en œuvre des dizaines de domaines. Les administrateurs informatiques peuvent avoir un ou plusieurs comptes dans chacun de ces domaines. La méthode d’authentification par nom d'utilisateur et mot de passe signifie que les administrateurs doivent se rappeler d’une multitude de mots de passe. Les certificats stockés dans les cartes à puce peuvent être associés à de multiples comptes dans des domaines différents, donc l'administrateur peut s’authentifier avec la même carte en utilisant des identités différentes. Une carte à puce peut contenir plusieurs certificats qui sont protégés soit par un code PIN simple ou différents codes PIN. L'utilisateur est incité à choisir le certificat à utiliser au moment de la connexion. Émission de certificats multiples pour les domaines différents Les systèmes anciens peuvent ne pas accepter un certificat unique pour des comptes multiples. Dans ce cas, on peut fournir à l'administrateur une carte contenant des certificats multiples, en ligne avec ses identités dans les différents domaines.

Mise en œuvre Pour les instructions d'installations d’une autorité de certification Microsoft Windows 2012 CA qui émet des certificats, nous vous conseillons la lecture de notre guide ExecProtect Armored Office Setup Guide. Émission et gestion des identités avec la solution IDAdmin 200 de Gemalto La solution IDAdmin 200 fournit tous les outils pour gérer des cartes à puce d'une façon sécurisée et facile. IDAdmin 200 est pleinement opérationnel avec le standard Microsoft mini-driver/cartes à puce ; il rationalise tous les aspects d'un système de gestion de carte à puce en se connectant au répertoire d'entreprise, autorités de certification et serveurs de synchronisation. Avec IDAdmin 200, les organisations peuvent fournir des cartes à puce aux salariés, personnaliser les cartes à puce avec des certificats et gérez le cycle de vie de chaque carte.

Page 7: Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs

Bénéfices de IDAdmin 200 :

> Déploiement rapide et facile de 10 utilisateurs à des milliers d’utilisateurs > Gestion complète des identités

o Pré personnalisation électrique des cartes et pré-impression des corps de carte o Émission des identités et personnalisation (incluant l’impression) o Déblocage de carte

> Administration distribuée possible > Solution intégrée avec Microsoft AD > Publication facilement des certificats pour des domaines multiples dans l'entreprise

Pour résumer : l’Authentification Forte pour les utilisateurs privilégiés est une bonne pratique Chaque semaine apporte son lot d’informations sur des entreprises touchées par la perte d'informations sensibles, un problème qui peut être endigué grâce à de meilleures pratiques basées sur la gestion des identités. Les pertes de données et l’utilisation d’informations sensibles dues à un accès non autorisé devrait être une préoccupation majeure de chaque entreprise. Bien que la mise en œuvre de l’authentification forte pour tous au sein de l’entreprise soit une pratique souhaitable, nous vous conseillons de commencer par les utilisateurs qui manipulent les données les plus sensibles ou qui ont des droits d’accès aux systèmes élevés. Il est évident que l’accès par - nom d'utilisateur et mot de passe - n’est pas un processus sûr pour protéger le capital informatique de votre entreprise. Mettre une authentification basée sur l’utilisation de certificats et de cartes à puce pour vos utilisateurs privilégiés peut empêcher la perte de données et protéger vos informations confidentielles.

> Vos utilisateurs privilégiés peuvent continuer à travailler avec les outils dont ils ont l’habitude > Les solutions Gemalto sont parfaitement intégrées avec l'architecture d'entreprise de Microsoft > Les solutions Gemalto sont faciles à déployer et à gérer > La gestion des utilisateurs des systèmes informatiques vous met en conformité avec les revues d'audit

rigoureuses > La mise en place des systèmes d’authentification forte est un investissement rentable en vue de la mise en

conformité de votre entreprise vis-à-vis de ses obligations

Que faire à présent ? Demandez plus d'informations ou une démonstration … Contactez-nous


Formation Hypothèses Utilisateurs

Formation Hypothèses Utilisateurs

Business
Conférence Utilisateurs FME

Conférence Utilisateurs FME

Documents
COMITE UTILISATEURS OBLIC - Dimenc

COMITE UTILISATEURS OBLIC - Dimenc

Documents
La sécurité électrique, c’est simple quand on nous guidefondactionfase.com/wp-content/uploads/Leaflet_Secu_Bailleur.pdf · La sécurité électrique, ... Ne pas dégrader l’installation

La sécurité électrique, c’est simple quand on nous guidefondactionfase.com/wp-content/uploads/Leaflet_Secu_Bailleur.pdf · La sécurité électrique, ... Ne pas dégrader l’installation

Documents
Les angles privilégiés

Les angles privilégiés

Documents
Galvanisation Conseils Aux Utilisateurs

Galvanisation Conseils Aux Utilisateurs

Documents
Formation des utilisateurs

Formation des utilisateurs

Documents
Une belle histoire celle des privilégiés du baby boom,

Une belle histoire celle des privilégiés du baby boom,

Documents
Questions fréquentes utilisateurs industriels

Questions fréquentes utilisateurs industriels

Documents
IR UIT PARTENAIRES PRIVILÉGIÉS FIERS D'ÊTRE Le …

IR UIT PARTENAIRES PRIVILÉGIÉS FIERS D'ÊTRE Le …

Documents
Manuel d’UTILISATION Partie Utilisateurs

Manuel d’UTILISATION Partie Utilisateurs

Documents
Guide des Salariés Utilisateurs

Guide des Salariés Utilisateurs

Documents
Anticiper les actions utilisateurs

Anticiper les actions utilisateurs

Documents
Utilisateurs de - PGP

Utilisateurs de - PGP

Documents
Manuel utilisateurs Eldy

Manuel utilisateurs Eldy

Documents
Guide utilisateurs gustino

Guide utilisateurs gustino

Documents
Forum Utilisateurs Nano Satellites

Forum Utilisateurs Nano Satellites

Documents
Ergonomie et modelisation utilisateurs

Ergonomie et modelisation utilisateurs

Education
AUX UTILISATEURS(TRICES),

AUX UTILISATEURS(TRICES),

Documents
twitter comparatif utilisateurs

twitter comparatif utilisateurs

Documents
GTI745 – Interfaces utilisateurs avancées

GTI745 – Interfaces utilisateurs avancées

Documents
Présentation utilisateurs

Présentation utilisateurs

Documents
Présentation par ADINES de la solution de gestion et de contrôles des accès privilégiés adminstrateurs

Présentation par ADINES de la solution de gestion et de contrôles des accès privilégiés adminstrateurs

Technology
DEMEURES, OCCASIONS D’AFFAIRES ET LIEUX PRIVILÉGIÉS 514

DEMEURES, OCCASIONS D’AFFAIRES ET LIEUX PRIVILÉGIÉS 514

Documents
Profils des utilisateurs

Profils des utilisateurs

Documents
Guide - Utilisateurs Présentation

Guide - Utilisateurs Présentation

Documents
Guide utilisateurs Makro FR

Guide utilisateurs Makro FR

Documents
Formation SQPRP : Utilisateurs internet

Formation SQPRP : Utilisateurs internet

Self Improvement
Campagne Pouvoir dachat 2013 Les retraités privilégiés ? Fiscalité injuste. Santé menacée Nos exigences revendicatives. Les retraités privilégiés ? Fiscalité

Campagne Pouvoir dachat 2013 Les retraités privilégiés ? Fiscalité injuste. Santé menacée Nos exigences revendicatives. Les retraités privilégiés ? Fiscalité

Documents
GUIDE UTILISATEURS RAPID-PAIR

GUIDE UTILISATEURS RAPID-PAIR

Documents